Adli Bilişim (Computer Forensics)

          Bilişim sistemlerinin hayatımızın her alanına girdiğini inkâr etmek elbette ki imkânsız. İnsanoğlu büyüğünden küçüğüne gerek sosyal hayatta gerekse iş hayatında bilgisayar kullansın yada kullanmasın, farkında olsun yada olmasın, bir şekilde bilişim sistemlerinin getirdiği nimetlerden yararlanmaktadır. Bununla birlikte; tarihin başlangıcından beridir insanoğlunun var olduğu her sosyal alanda suçun olması doğaldır ve günümüzde bilişim teknolojileri de insanoğlunun suç işlemek için veya suç işlerken kullandığı araçlardandır.

          Bir suçlunun arkasında işlediği suçla ilgili delil, iz ve emare bırakmaması doğanın bir kanunu olarak insanoğlunun elinde olmadığından, bilişim sistemleri ile işlenen suçlarda suç ile ilgili deliller farklı şekil ve formatlarda suç sonrasında dijital delil olarak bulunabilmektedir.

          Adli Bilişim (Computer Forensics – Bilgisayar Kriminalistiği) bilimi; suçun aydınlatılabilmesi için bilimsel metotlar kullanılarak, çeşitli varyasyonlardaki dijital medyalar üzerinde bulunan, suçla ilgili dijital delillerin bozulmadan ve zarar görmeden anlaşılabilir bir şekilde adalet önüne sunulmaya hazır hale getirilmesini sağlayan ve başlı başına bilimsel teknik prensiplerin uygulandığı bir delil inceleme sürecinin bütünüdür.

          İngilizce’de, Computer Forensics olarak geçen ve Türkçe’ye  tam olarak çevrildiği takdirde Bilgisayar Kriminalistiği anlamını olan, ancak dilimizde genel kabul görmüş şekliyle Adli Bilişim diye adlandırılan bilim dalı; aslında delil inceleme bilimi olan Kriminalistik biliminden pek fazla farklı değildir. Kriminalistik bilimindeki gibi amaç işlenmiş bir suçta delillerin ortaya konmasıdır. Aynı zamanda Adli Bilişim biliminde de Kriminalistik biliminde olduğu gibi; suç mahallindeki olay yeri güvenliği ve ilk olay yeri müdahalesi ile incelemesi, delillerin olay yerinden toplanırken zarar verilmeden ve gözden kaçırılmadan toplanması, incelenmek için tam teşekküllü laboratuvarlara götürülürken muhafazalı bir şekilde nakil prosedürleri, inceleme aşamasında delilin bütünlüğünün zarar görmeden incelenmesi ve daha sonrasında da tarafsız olarak bilimsel verilere dayandırılıp elde edilmiş delillerin adli makamlara anlaşılır bir şekilde sunulması için raporlama aşaması gibi delil inceleme süreci mevcuttur. Kriminlistik biliminde delil inceleme aşamasında genellikle elle tutulur gözle görülür deliller varken Adli bilişim bilimi elektronik ortamdaki dijital delillerle ilgilenir. Bilişim sistemlerindeki delil olarak kullanılması muhtemel bulguların tespit edilmesi ve delil olarak ortaya konması, verilerin saklandıkları manyetik dijital ortamlardan anlaşılır bir şekilde çıkartılarak yazılı metin haline dönüştürülmesi suretiyle mümkündür. Bazı durumlarda ise bulgular; yazılı metine dönüştürülse bile, bilişim sistemleri teknolojileri hakkında teknik bilgi ve birikimi olması beklenmeyen adli merciler tarafından anlaşılır formatta olmadığından açıklanmaları ve izah edilmeleri gerekmektedir. Sonuçta adli bilişim bilimi çoğunlukla dijital deliller üzerine yoğunlaşmaktadır. Adli Bilişim biliminin delil inceleme üzerinde ilgilendiği Dijital Delil ne demektir peki? Dijital Delil için aşağıdaki tanımı yapmak sanırım yanlış olmaz.

          Dijital Delil: Bilişim sistemlerinin veya bilgileri otomatik olarak işleme tabi tutma yetisine sahip elektronik cihazların veri depolama medyaları üzerinde bulunan yahut bu medyalar üzerinden geçen, suç ile ilgili delil niteliği taşıyabilecek ve suçun aydınlatılmasını sağlayacak verilerdir.

        Üzerinde veri depolama yetisi bulunan veya dijital veriyi üzerinden geçiren he türlü elektronik cihaz bilgisayar olsun ya da olmasın dijital delil ihtiva etme potansiyeline sahiptir. Günümüzde elektronik veri depolama ve işleme birimleri öylesine yaygınlaşmıştır ki; Adli Bilişim biliminin inceleme alanında olan dijital deliller, sadece bilgisayar sistemlerinin veri depolama birimlerinde yer almamaktadır. Buda Adli Bilişim biliminin sadece bilişim suçlarında ya da bilişim yoluyla (bilgisayarın araç olduğu yani normal suçla ilgili delil ihtiva etmesi muhtemel durum) işlenmiş suçlarda delil elde etmek için kullanıldığı bir bilim olmaktan çıkması sonucunu doğurmaktadır. Örneğin adli bilişim bir Hacking olayında hacker şahsın bilgisayarındaki verileri delil niteliğinde inceleyebileceği gibi, belge üzerinde sahtecilik suçunun veya bir cinayetin aydınlatılabilmesi için şüphelinin bilgisayar sistemindeki verileri de dijital delil olarak inceleye bilmektedir. Bunun yanında gerek normal suç olsun gerek bilişim vasıtalı veya bilişim suçu olsun Adli Bilişim Bilimi suçu aydınlatabilmek için şüphelinin cep telefonundaki, dijital fotoğraf makinesindeki, elektronik kişisel yönetim sistemlerindeki (PDA), tablet bilgisayar vs gibi veri taşıması muhtemel elektronik cihazlarında da inceleme yapar. Peki, genel olarak dijital deliller nerelerde bulunur?

Dijital Delil Nerelerde Bulunur?

  • Hard diskler, CD, DVD ve Disketler
  • USB Hardisk ve USB Flash Disklerde vs.
  • ZIP, DAT, DLT gibi teyp veri yedekleme birimlerinde
  • Hafıza Karlarında (SD, MMC, CF, MemoryStick vs)
  • Dijital Kameralar ve Fotoğraf Makineleri, Medya Çalarlar
  • El bilgisayarları (PDA, PALM, PocketPC, Tablet PC vs)
  • Cep Telefonları ve Akıllı Telefonlar
  • Oyun Konsolları
  • Akıllı Televizyonlar, Medya Oynatıcıları
  • Bazı Yazıcı, Tarayıcı, Fotokopi ve Fax Cihazları
  • Network Cihazları (Hafızaları varsa)
  • İnternet ve Network Ortamları (Canlı Akışkan Delil, Bulut Üzerindeki Delil, Sunucular Üzerinde)
  • Ve daha bir çok…

          Bu sayılan listenin haricinde de, teknolojinin gelişmesiyle birlikte üzerinde veri taşıyabilecek yeni cihazlar ortaya çıkabilecektir. Unutulmaması gereken; üzerinde veri depolama yetisine sahip her türlü  elektronik cihaz dijital delil ihtiva etme potansiyeline sahiptir.

        Buraya kadar anlatılanlarda Adli Bilişim bilimin tanımı, Adli Bilişim biliminin inceleme hedefi olan Dijital Delil’in tanımı yapılmış ve sonrasında dijital delillerin nerelerde bulunabileceğinden bahsedilmişti. Bu çerçevede Adli Bilişim ve Dijital delil kavramlarının anlaşıldığı umut edilerek; Adli Bilişim Biliminin incelemeye yönelik kurallarına ve inceleme uygulanırken inceleme başlangıcından elde edilen delillerin adli makamlara sunulması aşamasına kadar takip edilen adımlarından detayına girmeden bahsedilmeye çalışılacaktır.

Adli Bilişim Süreçleri – Dört Adım

          Adli Bilişim Biliminin uygulanmasında temel olarak dört önemli süreç yer almaktadır. İlk olay yeri müdahalesinden, delillerin var olması muhtemel nesnelerin toplanmasına, karşılaşılan suça göre bir inceleme operasyon planının hazırlanmasından toplanan ve üzerinde delil incelemesi yapılacak veri depolama biriminin bire bir kopyalanmasına kadar olan süreye Elde Etme (1. Acquisition) adımı adı verilmektedir. Sonraki adım olarak muhtemel suç unsurlarının incelenmesi için yapılan teknik araştırma ve bulunduğu dijital ortamdan çıkarılarak elde edilmesi adımını oluşturan Tanımlama (2. Identification) yer almaktadır. Teknik incelemenin sonunda Tanımlanan suç unsurlarının delil olarak saptanmasını sağlayan Değerlendirme (3. Evaluation) aşamasında ise kesin olarak suça konu olan delillerin öz ve mantıklı bir şekilde tespit edilmesi ve güvenilirlik sağlamasının yapılması durumu söz konusudur. Son olarak 4.cü adımda, elde edilen delillerin dokümantasyonunun yapılarak adli merciler önüne konulmasını içeren Sunum (4. Presentation) adımı yer almaktadır. Bahsedilen ve aşağıda sıralanan bu adımların sırasıyla düzgün bir şekilde uygulanması Adli Bilişim biliminin vazgeçilmez doğasında yer almaktadır.

Kısaca Adli Bilişim biliminin süreçlerini tekrar sıralayacak olursak;

  1. Elde Etme (Acquisition) İlk Olay yeri güvenliği ve müdahalesi, muhtemel delil nesnelerinin toplanması, nakledilmesi, verilerin incelenmek için birebir kopyalanması.
  2. Tanımlama (Identification) Araştırma yöntemlerinin belirlenmesi, Teknik araştırmanın yapılarak, muhtemel suç unsurlarının bulundukları dijital ortamdan dışarı çıkarılması.
  3. Değerlendirme (Evaluation) Kesin delil niteliği taşıyacak suç unsurlarının tespit edilmesi ve değişmemiş geçerliliğinin sağlanması.
  4. Sunum (Presentation) Adli merciler için, saptanan bulguların dokümantasyonun ve sunumunun yapılması.

Yukarıda bahsedilen süreçlerin her birisi ayrı bir yazı konusu olmakla birlikte birlikte biraz daha açmak gerekirse;

Elde Etme (Acquisition)

          Bilgisayar kriminalistiğinde normal kriminalistik biliminde olduğu gibi ilk olay yeri müdahalesi oldukça önemlidir. Muhtemel suç delillerinin güvenilir bir şekilde eksiksiz saptanması ve zarar görmeden toplanması ilk olay yeri müdahalesinin düzgün yapılmasıyla mümkündür. Bunun için öncelikle olay yeri güvenliği alınarak, bilgisayar kriminalistiği uzmanlarının haricinde herhangi bir üçüncü şahsın delil içermesi muhtemel bilişim sistemleri ve çevre birimlerinin bulunduğu ortama girmemesi sağlanmalıdır. İlk olay yerinde yetkisiz üçüncü şahısların bulunması bilişim sistemlerinin ve çevre birimlerinin içermesi muhtemel suç delillerinin kasıtlı veya kasıt dışı zarar görmesine sebep olabilir. Bunun yanında ilk olay yerindeki sahnenin durumu bile bazı durumlarda suç araştırmacısına muhtemel suç ile ilgili bilgiler verebilecektir. Bilişim sistemlerinin fiziki konumu, cihazların birbirleri ile bağlantıları, ağ cihazlarının bağlantı konumları, bilişim sistemlerinin etrafında bulunabilecek dokümanlar ve notlar suç araştırmacısına azda olsa suç ile ilgili bilgi verebilecektir.Şu ana kadar ilk olay yeri sahnesi karşılaşma anı ile ilgili olarak kriminalistik biliminin olay müdahalesinin ilk aşamasından farksız adımlar izlenmektedir. Bu her ne kadar bilgisayar kriminalistiğinde ki teknik bilgi ve beceriyi ortaya koymasa da çoğu durumda muhtemel suç delillerinin zarar görmemesi, suçla ilgili bazı fikirlerin elde edilmesi bakımından önemlidir.

          Karşılaşılan olay yerinde kapalı bir bilgisayar sistemi varsa kesinlikle açılmamalıdır. Bilgisayar sistemlerinin delil ihtiva etmesi muhtemel durumlarda, sistemin açılması mevcut delillerin kesinlikle ve kesinlikle zarar görmesine sebebiyet verebilecektir. Örneğin bilgisayar sistemlerinin işletim sistemleri açılırken bir çok konfigürasyon dosyasına erişim sağlamakta ve ileride suç delili olabilecek verilerin zarar görmesine yol açabilmektedir. Dosyaların erişim tarihleri bile bazı durumlarda delil niteliği taşıyabileceği için bu durum oldukça sakıncalıdır. Aynı zamanda işletim sistemlerinin açılırken oluşturabileceği geçici dosyalar ve geçici hafıza disk alanları daha önceden silinmiş olan veri alanlarının üzerine yazılabileceği için silinmiş verilerin delil niteliğinde kurtarılabilme olasılığını ortadan kaldırmış olacak ve dolayısı ile delilin bütünlüğünü bozmuş olacaktır. Bu yüzden incelemesi yapılacak bilgisayar sistemleri ve bazı ağ cihazları kapalı durumda iseler kesinlikle açılmamalıdır.

          Muhtemel delil nesnelerinin toplanması aşamasında akla gelebilecek bir soruda çalışan bilgisayar sistemlerini kullanıp kapatmadıktan sonra nasıl toplayacağız sorusudur. Bura da eğer bilgisayar kriminalistiği uzmanı çeşitli teknik yöntemler kullanarak sistem üzerindeki çalışma anı verilerini delil niteliğinde elde ettiyse ya da, uzman sistemleri sonraki inceleme aşaması için toplamak istiyorsa, bilgisayar sisteminin işletim sistemine göre değişkenlik gösteren bazı toplama yöntemleri uygulamalıdır. Muhtemel delil nesnelerinin toplanmasından kasıt, delil inceleme için tam teşekküllü bir bilgisayar kriminalistiği laboratuarına götürülmek üzere kanun nezdinde nesnelerin zapt edilmesidir. İncelemesi yapılmak için laboratuar ortamına götürülmesi gereken ve olay yerinde çalışan bir sistemin kapatılması, bilgisayar sisteminin kullandığı işletim sistemine göre değişkenlik gösteren ve bu yazıda bahsedilmeyen bazı yöntemler mevcuttur.

         Olay yerinde bulunan dijital delil ihtiva etmesi muhtemel bilgisayar sistemleri ya da veri depolama birimlerinin laboratuvara götürülüp inceleme aşamasına başlanması için gerekli olan bire bir kopyalama işlemine geçilmesinden önce; delillerin toparlanması ve laboratuara intikal ettirilirken dikkat edilmesi gereken hususlar mevcuttur. Deliller toplanma, paketlenme ve nakletme sırasında da elbette zarar görme ihtimali içerisindedirler. Özelikle bilgisayar sistemleri ve veri depolama birimleri sarsıntı, statik elektrik, yüksek seviyedeki radyo frekansı, ısı, nem ve bir çok dış etkenden etkilenerek zarar görebilmekte, ya inceleme aşamasına geçilmeden bozulabilmekte ya da inceleme aşamasında çıkabilecek teknik arızalar yüzünden delil elde edilme imkanı ortadan kalkmış olmaktadır. Bu aşamada mevcut olay yerindeki diğer işlemler (güvenliğin alınması, fotoğraflama, normal delil elde etme prosedürleri ve çalışan sistemlerin durdurulması gibi) tamamlandıktan sonra delil ihtiva etmesi muhtemel varlıkların dikkatli bir şekilde toparlanması gerekmektedir. Mümkün mertebe manyetik alanlardan ve statik elektrikten etkilenmeyecek şekilde anti statik paketleme gerçekleştirilmeli, sistemler ile veri depolama birimleri sarsıntıdan korunarak nazikçe inceleme laboratuarına götürülmelidir. Elbette alınan tüm varlıkların birer listesi çıkartılmalı, zapt edilmenin hukuksallık kazandırılmasına dikkat edilmelidir.

          Delil ihtiva etmesi muhtemel bilgisayar sistemleri üzerindeki incelemeler, sistemin veri depolama birimlerinin yazma korumalı bir ortamda ve dijital imzalı doğrulaması yapılmış olarak birebir alınmış kopyaları üzerinde gerçekleştirilmelidir. İnceleme için alınan birebir kopyaya bilgisayar kriminalistiği’de İmaj (Forensic Image) adı verilmektedir. Bu birebir kopya yani İmaj alma işlemi, incelemeye tabi hedef sistem üzerindeki verilerin bit bazında düşük seviyede kopyalanması ile gerçekleştirilmelidir. Sistem üzerindeki verilerin sektör sektör birebir yansısının alınması yani düşük seviyede kopyalanması ancak geçerli bir imajın alınması anlamına gelmektedir. Hedef sistemin delil bütünlüğünün bozulmaması için gerekli olan bu önlemler alındıktan sonra imaj alma işlemi gerçekleşmelidir. Zaten birebir olarak alınacak İmaj üzerindeki inceleme de, kesinlikle ve kesinlikle gerçek delil nesnesinin inceleme aşamasında zarar görmemesi için gerekli bir işlemdir.

Tanımlama (Identification)

          Elde Etme (Acquisition) aşamasına müteakip birebir kopyası yani imajı alınan bilgisayar sistemi veri depolama birimleri üzerinde incelemeye geçilmeden önce karşılaşılan suça ilişkin araştırma yöntemleri tespit edilmeli bir inceleme planı ortaya çıkarılmalıdır. Burada amaç suça ilişkin ne tür verilerin araştırılacağının saptanmasıdır. Araştırılacak veriler karşılaşılan suça ve suç ile ilgili verilerin bulunduğu veri depolama birimlerine göre değişiklik gösterebilmektedir. Aşağıdaki tabloda örnek olarak bilgisayar vasıtalı bir suç olan çocuk pornografisinin muhtemel delil medyası hafıza kartları üzerindeki özet araştırma yöntemi gösterilmiştir. Ayrıca inceleme yapan adli bilişim uzmanının soruşturmaya yön veren kişiler tarafından da yönlendirilmesi, ne gibi bir araştırmanın yapılacağı hakkında bilgilendirilmesi de önem arz etmektedir.

SUÇ: Çocuk Pornografisi Medya: Hafıza Kartları
Chat Kayıları,E-Postalar, Notlar,Resim, Animasyon ve Video Dosyalarıİlgili Oyunlar,Sık Kullanılan Internet İmgeleri,Resim İşleme Yazılımları,Vs… Yedeklenmiş veya Sıkıştırılmış dosyalar,Silinmiş veriler ve dosyalar,Disk Bölümleri veya Formatlanmış alanlar,Şifreli Disk alanları,Gizlenmiş dosyalar ve alanlar,Belirlenmemiş Alan ve Slack SpaceVs…

          Bunun dışında bilgisayar sistemlerinin hedef olduğu bir bilişim suçunda araştırma planın iyi bir şekilde yapılması gerekmektedir. Bilişim Suçları bilgisayar vasıtalı suçlardan daha karmaşık bir yapıya sahip olduğu için elbetteki araştırma yöntemlerinin belirlenmesi daha fazla teknik bilgi birikimi gerektirecektir.

          Araştırma yöntemlerinin belirlenmesi ve karşılaşılan suç ile ilgili ne tür bilgilerin hedef dijital delil nesnesi üzerinde araştırılacağının belirlenmesinden sonra teknik araştırma detaylı bir şekilde dijital delil inceleme yazılımlarının desteğiyle yapılmalıdır. Burada bu konuya çok detaylı bir içeriğe sahip olmasından dolayı pek fazla değinilmeyecektir. Ancak ülkemizde kolluk kuvvetleri tarafından sık olarak kullanılan ve uluslararası standartlarla kabul görmüş dijital delil inceleme yazılımları olan EnCase, FTK, X-Wasy vs. gibi yazılımları bu iş için biçilmiş kaftandır. Bunun yanında bilişim sistemlerinin işleyişi hakkında teknik bilgi birikimi az olan bir kullanıcı bu yazılımlar ile yüzde yüz bir inceleme gerçekleştiremeyecek sadece bu yazılımların menülerinin sunulmuş basit işlemleri gerçekleştirebileceklerdir. Unutulmamalıdır ki; bu yazılımların menülerini çok iyi bilmek asla ve asla iyi bir dijital delil inceleme yapmak ve iyi bir adli bilişim uzamanı olunduğu anlamına gelmemektedir.

Değerlendirme (Evaluation)

          Değerlendirme aşamasında bulunan bulguların hangilerinin kesin delil niteliğinde Adli merciler karşısına çıkarılacağının tespiti ve bu bulguların geçerliliğinin sağlaması gibi işlemler yapılmaktadır. Burada dikkat edilmesi gereken husus soruşturmaya yön verecek bilgilerin eksiksiz bir şekilde sunum aşaması için tespit edilmesi ve geçerliliğinin tekrar tekrar veri bütünlüğü ve geçerliliği sağlamasının yapılmasıdır. Veri İnceleme sonucunda delil niteliği taşımayan normal bilgisayar sistem dokümanları veya dosyaları ( işletim sistemi yardım dosyaları yada kişisel eğlence amaçlı dosyalar vs vs ) delil şeklinde değerlendirilmemelidir. Dijital delil ihtiva etmesi muhtemel medya üzerinde bulunan tüm verilerin delil niteliğinde düşünülüp sunum aşaması için hazırlanması elbetteki çok aşırı zaman alacak ve tüm verilerin delil kategorisinde değerlendirilmesi de mümkün olmayacağı gibi adli mercilerin boş yere zamanını alarak kafaları karıştıracaktır. Burada amaç en doğru ve suçu aydınlatacak verilerin delil olarak dışarıya çıkarılması, geçerli bir şekilde raporlama aşamasına hazır hale getirilmesidir.

          Elde edilen delil niteliğindeki verilerin güvenli bir şekilde zarar görmeden ve bire bir değişmemiş halinin inceleme konusu ortamdan çıkarılmış olup olmadığının kontrolü de bu aşamada dikkatlice baştan sona denetlenmelidir. Bu aşama aynı zamanda bir nevi adli bilişim biliminin söz konusu olay ile ilgili kurallarına uygun olarak yapılıp yapılmadığının da kontrolü yapılmaktadır. KISACA : Doğru ve öz veriler, bütünlüğü bozulmadan ve anlaşılabilir ölçüde suçu aydınlatacak şekilde delil olarak ortaya konulmalıdır.

Sunum (Presentation)

          Adli Bilişim Biliminin son aşaması olan Sunum kısmında; elde edilen ve değerlendirilmesi tamamlanmış dijital delil niteliğindeki verilerin soruşturmada kullanılmak üzere anlaşılabilir bir dilde raporlanması ve Adli Makamlara ayrıntılı, anlaşılabilir ve teknik bilgileri açıklayıcı bir şekilde sunulması gerekmektedir. Sunum aşamasında hazırlanacak rapor ile ilgili aşağıdaki hususlara dikkat edilmesi gerekmektedir.

  • Raporun dili ve içeriği teknik bilgisi olmayan insanlar tarafından bile anlaşılabilir olmalıdır.
  • Teknik terimler ve olgular detayları ile açıklanmalıdır.
  • Rapor içerisinde delil niteliğini taşıyacak Kesin ve Somut veriler yer almalıdır.
  • Delilere ulaşmak için kullanılan adli bilişim yöntemleri açıklanmalıdır.
  • Delil bütünlüğü bozulmadan delillerin ortaya konduğu ispat edilmelidir.
  • İnceleme aşamasındaki yapılan tüm işlemler ek bir rapor hazırlanarak ayrıca rapor edilmelidir.

          Buraya kadar anlatılanlarda bilişim suçlarında, bilgisayar bağlantılı suçlarda ve her hangi bir suça konu olabilecek bilişim sistemleri medyaları üzerinde bulunması muhtemel dijital delillerin tespiti amacıyla uygulanan Adli Bilişim (Computer Forensics – Bilgisayar Kriminalistiği) biliminin ana hatlarıyla temellerinden bahsedilmiştir. Bu konuda ilerleyen zamanlarda elimden geldiğince bölümlere ayırarak daha detaylı yazılar yazmaya çalışacağım. İnternet üzerinde bu konuda yapılacak aramalar neticesinde oldukça faydalı başka bilgilerde bulunabilecektir. Unutulmamalıdır ki; adli bilişim bilimsel temellere dayanan, prensipleri olan ve uygulayıcının bilgi seviyesiyle orantılı olarak verimli bir şekilde kullanılabilecek bilgisayar kriminalistiği bilimidir.

Kaynaklar
http://en.wikipedia.org/wiki/Computer_forensics
http://www.forensicfocus.com/
Computer Forensics: Principles and Practices (Prentice Hall Security Series) by Linda Volonino, Reynaldo Anzaldua, Jana Godwin
Computer Evidence: Collection & Preservation (Networking Series) by Christopher LT Brown
Real Digital Forensics: Computer Security and Incident Response by Keith J. Jones, Richard Bejtlich, Curtis W. Rose
Electronic Crime Scene Investigation: A Guide for First Responders, by National Institute of Justice
 
NOT : Bu yazı 2003 Tarihinde eski Ekizer.Net sitesinde yayınlanmış olan Adli Bilişim (Computer Forensics – Bilgisayar Kriminalistiği) yazısının yeniden gözden geçirilmiş özetidir. Güncel olmayan eski yazı daha uzundur. Eski yazıda zamanın gerekliliği ancak günümüz teknolojik gelişimlerine uymayan yanlışlıklar bulunabilir. Eski yazıya Buradan ulaşabilirsiniz. 

A.Hakan Ekizer

1978 Doğumlu, Polis Akademisi 2000 mezunu. Bilişim Suçları, Adli Bilişim(Digital Forensics), Bilişim Güvenliği ve Adli Teknik Takip Teknolojileri (Lawful Interception Techs.) konusunda uzman Emniyet Müdürü. ACE, EnCe, CCE, CHFI, CEH, Security+, Linux+, Network+ ve PMP Sertifikalı. Yazılım Geliştirme alanında tecrübe sahibi. Linux, BSD, Mac OSx aşığı MS-Windows zorunlu kullanıcısı. Amatör fotoğrafçı ve motosiklet tutkunu.

Bunlar da hoşunuza gidebilir...